Der Bundesdatenschutzbeauftragte Peter Schaar hat für den „Behörden Spiegel“ einen Beitrag unter der Überschrift „De-Mail bietet viele Vorteile“ verfasst, in dem er die De-Mail vorstellt. Er zeigt hierbei Möglichkeiten und Risiken aus Sicht des Datenschutzes auf, und setzt sich en passant mit dem geplanten E-Government-Gesetz auseinander. Er fordert wiederum die Ende-zu-Ende-Verschlüsselung sensibler Daten.
Zunächst aber beschreibt er seine Rolle bei der Akkreditierung der Anbieter – er ist nach § 18 Abs. 3 Nr. 4 De-Mail-Gesetz zuständig für die Erteilung eines Datenschutz-Zertifikates –, und ergänzt:
Die Einhaltung der im Datenschutzzertifikat genannten Standards werde ich zukünftig auch kontrollieren.
Warum er, also der Bundesbeauftragte? Zunächst: Die Datenschutzaufsicht ist nicht Aufgabe des BSI als sonst zuständiger Aufsichtsbehörde (K § 2 Rdnr. 11; BT-Drs. 17/3630 S. 41, zu § 20). Das obliegt vielmehr den Datenschutz-Aufsichtsbehörden. Das sind grundsätzlich die jeweiligen nach § 38 Abs. 5 BDSG bestimmten Landesbehörden. Bei (D)E-Mail-Diensten besteht aber eine Sonderzuständigkeit des Bundesbeauftragten aus § 115 Abs. 4 TKG. Danach tritt,
soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, [….] bei den Unternehmen an die Stelle der Kontrolle nach § 38 des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten für den Datenschutz[…].
Dass es sich beim Transport von E-Mails um Telekommunikationsdienste im Sinne des TKG handelt, wird deutlich aus § 11 Abs. 3 TMG und § 3 Nr. 24 TKG. Denn das ist eine Leistung, „die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze“ besteht. Zu beachten ist aber, dass die Ermächtigung des Bundesbeauftragten begrenzt ist auf die Verwendung der personenbezogenen Daten „für die geschäftsmäßige Erbringung von Telekommunikationsdiensten“. Gegen eine unzulässige Datenverwendung etwa für Marketingzwecke müsste die jeweilige Landesbehörde einschreiten (vgl. Petri, in: Simitis, Bundesdatenschutzgesetz, § 38 BDSG Rdnr. 18).
Schaar begrüßt sodann die Sicherheit, die aus der Notwendigkeit resultiere, sich bei der Anmeldung auszuweisen:
Da auch Unternehmen und Behörden vor der Nutzung von De-Mail ein Identifizierungsverfahren durchlaufen müssen, kann sich der Bürger sicher sein, dass eine De-Mail, die beispielsweise das Bundeskriminalamt als Absender angibt, auch von dort kommt.
Eventuell spielt er damit auf Nachrichten wie diese an. Ich glaube indes nicht, dass allzu viele Bürger E-Mails vom BKA oder vom Verfassungsschutz bekommen.
Schließlich aber wendet er sich der immer noch schwelenden Frage der Ende-zu-Ende-Verschlüsselung zu. Bereits im Gesetzgebeungsverfahren zum De-Mail-Gesetz hatte er – wie der CCC und viele andere auch – darauf gedrängt, eine solche verpflichtend vorzusehen. Der Gesetzgeber hat sich dem mit dem Bemerken widersetzt, das verkompliziere das System nur und erschwere die Marktdurchsetzung. Entsprechend sind die Nachrichten nur auf dem Weg vom Provider, zwischen den Providern und auf dem Weg vom Provider verschlüsselt. Die Provider selbst können und müssen auf den Inhalt der Nachrichten zugreifen, um sie auf „Schadsoftware“ zu überprüfen, § 2 Abs. 4 Nr. 4 De-Mail-Gesetz.
Der Gesetzgeber nunmehr des E-Government-Gesetzes spielt die hiermit verbundenen Risiken herunter:
“Bei den De-Mail-Providern werden die Daten im Rahmen eines automatisierten Prozesses ohne menschliche Mitwirkung kurzzeitig umgeschlüsselt. Diese Umschlüsselung erfolgt in einer vom BSI zertifizierten Sicherheitsumgebung, für die die De-Mail-Provider im Rahmen des im De-Mail-G geregelten Akkreditierungsprozesses umfangreiche organisatorische und technische Sicherheitskriterien erfüllen müssen. Eine Speicherung der Inhaltsdaten beim Provider erfolgt ausschließlich in verschlüsseltem Zustand.”
Schaar widerspricht:
„Die Bundesregierung will mit dem E-Goverment-Gesetz diese Verunsicherung zerstreuen – aus meiner Sicht allerdings nur mit mäßigen Erfolgsaussichten. Denn der Gesetzentwurf nebst Begründung liest sich so, als könnten alle personenbezogenen Daten regelmäßig ohne Ende-zu-Ende-Verschlüsselung mit De-Mail versendet werden. Daten mit erhöhtem Schutzbedarf, etwa aus dem medizinischen Bereich, erfordern aber besondere Sicherungsmaßnahmen, die über die Standardsicherheit von De-Mail hinausgehen. Die für die Daten verantwortliche Stelle (im Regelfall der Versender) muss die erforderliche Sicherheit garantieren, etwa indem eine Analyse des Schutzbedarfs erstellt und darauf aufbauend zusätzliche Maßnahmen getroffen werden, etwa durch Gewährleistung einer zusätzlichen (anwendungsbezogenen) Ende-zu-Ende-Verschlüsselung.“
Er spricht sich also, auch das wird deutlich, nicht mehr für eine generelle Ende-zu-Ende-Verschlüsselung bei elektronischen Behördenkontakten aus, sondern nur bei „Daten mit erhöhtem Schutzbedarf“. Das liegt nicht so weit entfernt von der Auffassung der Bundesregierung, die im Entwurf zum E-Government-Gesetz ausdrücklich ausführt (BT-Drs. 17/11473 S. 24):
„Außerdem ist die Behörde nicht verpflichtet, per De-Mail zu antworten, wenn sie wegen der Versendung von Daten, z. B. Sozialdaten, mit sehr hohem Schutzbedarf verpflichtet ist, weitere Sicherungsmaßnahmen, z. B. eine Ende-zu-Ende-Verschlüsselung, einzusetzen.“
Der weitergehenden Forderung Patrick Breyers, in dem von Schaar angekündigten Leitfaden zum datenschutzgerechten Einsatz von De-Mail durchgehend eine Ende-zu-Ende-Verschlüsselung vorzugeben, dürfte Schaar damit wohl nicht nachkommen.
Update: Der Bundesdatenschutzbeauftragte (bzw. eine Mitarbeiterin) reagiert auf die Anfragen Patrick Breyers.
Im Kommentar: Zur Aufsicht siehe K § 2 Rdnr. 11 und K § 20, zur Kritik am Fehlen der Ende-zu-Ende-Verschlüsselung siehe K § 1 Rdnr. 35 ff. und 69 sowie K § 5 Rdnr. 25.